配置错误的云服务可在几分钟内被威胁参与者利用,有时甚至不到30秒。研究人员发现,攻击包括网络入侵、数据盗窃和勒索软件感染。使用全球部署的320个节点的蜜罐基础设施,PaloAltoNetworks第42单元的研究人员错误配置了云中的关键服务——包括远程桌面协议(RDP)、安全外壳(SSH)、服务器消息块(Samba)和Postgres数据库.在周一发布的一份报告中,研究人员透露,他们发现攻击者利用错误配置,在24小时内和一周内攻陷了320个蜜罐中的80%。此外,研究人员发现一些攻击在几分钟内发生,一个特别快速的威胁参与者在30秒内攻陷了全球80个蜜罐中的96%。考虑到组织在几天或几个月内管理漏洞的速度,“攻击者可以在几分钟内找到并破坏我们的蜜罐,这非常令人震惊,”Unit42首席云安全研究员JayChen在帖子中写道。.Chen写道,CommonCloudMistakes研究清楚地表明,鉴于“这些面向互联网的服务中的大多数都连接到其他云工作负载”,这些常见的错误配置会以多快的速度导致数据泄露或攻击者破坏整个网络。他说,这加强了快速缓解和修补安全问题的重要性。“当错误配置或易受攻击的服务暴露在互联网上时,攻击者只需几分钟就能发现并破坏该服务,”陈写道,“在安全修复的时间上没有任何误差。”的确,由于云服务配置错误,已经发生了多起备受瞩目的网络事件。仅今年一年,两个受欢迎的商业网点——HobbyLobby零售连锁店和Wegman's杂货店——都因这些类型的错误而遭受数据泄露。由于错误配置的云存储桶,HobbyLobby暴露了客户数据,而Wegman客户数据泄露事件也有错误配置的基于云的数据库。引诱攻击者Unit42在2021年7月至2021年8月期间进行当前云错误配置研究,在北美(NA)、亚太地区(APAC)和欧洲(EU)四个区域部署了320个蜜罐,SSH、Samba、Postgres和RDP分布均匀分散式。他们的研究分析了当时在基础设施中观察到的攻击的时间、频率和来源。为了引诱攻击者,研究人员故意配置了一些具有弱凭据的帐户,例如admin:admin、guest:guest、administrator:password,这些帐户授予对沙盒环境中应用程序的有限访问权限。他们会在遭到破坏时重置蜜罐——也就是说,当威胁行为者使用其中一个凭据成功进行身份验证并获得对应用程序的访问权限时。研究人员还在一部分蜜罐上阻止了一系列已知的扫描器IP,根据观察到的网络扫描流量每天更新一次防火墙策略。该团队根据各种攻击模式分析了攻击,包括:攻击者发现和破坏新服务所花费的时间,目标应用程序连续两次入侵事件之间的平均时间,以及在蜜罐上观察到的攻击者IP数量和观察攻击者IP的天数。具体结果研究结果表明,Samba蜜罐是攻击速度最快的蜜罐,也是攻击者连续破坏服务速度最快的蜜罐。然而,研究人员报告说,SSH是攻击者配置错误最多的服务,遭受攻击和破坏的次数远多于其他三个应用程序。他们发现,受攻击最多的SSH蜜罐一天内被攻击169次,而平均每个SSH蜜罐每天受到26次攻击。研究人员还按地区跟踪了攻击,他们发现,北美针对Samba和RDP的攻击最多,而来自亚太地区的攻击更频繁地针对Postgres和SSH。Chen写道,总体而言,85%的蜜罐攻击是在一天内观察到的,这向研究人员表明,阻止已知的扫描器IP无法有效缓解攻击,因为攻击者很少会重复使用相同的IP来发起攻击。避免常见的云错误研究人员表示,对于犯下容易被利用的常见云配置错误的组织来说,好消息是这些错误也很容易避免。Chen为系统管理员列出了一些建议,以避免将服务暴露给攻击。为了保护服务免受攻击者IP的攻击,云管理员可以实施保护措施以防止特权端口被打开,并创建审计规则来监控所有打开的端口和暴露的服务。研究人员还建议管理员创建自动响应和补救规则以自动修复错误配置,并部署下一代防火墙来阻止恶意流量。本文翻译自:https://threatpost.com/cloud-misconfigurations-exploited-in-minutes/176539/如有转载请注明出处。
